Как проверить трафик на обход VPN'a?

Question

[Николай]

Какие есть способы проверить не уход ли трафик в обход впн'а?

Мои настройки iptables:

iptables -F
iptables -t nat -F

IP_VPN="37.1.220.10"

iptables -A OUTPUT -p icmp --icmp-type 0 -j DROP
iptables -A OUTPUT -p icmp --icmp-type 8 -j DROP

iptables -A OUTPUT -o eth0 -j DROP

iptables -I OUTPUT --dst $IP_VPN -j ACCEPT

iptables -A OUTPUT -o tap0 -j ACCEPT

Вроде если отключить vpn то трафик не куда не идет но есть вот такие запросы:

17:44:59.784106 IP 192.168.1.1 > all-systems.mcast.net: igmp query v3
17:45:08.516221 IP 192.168.1.1 > igmp.mcast.net: igmp v3 report, 3 group record(s)

21:03:29.362887 ARP, Request who-has 192.168.1.1 tell 192.168.1.6, length 46
21:03:30.094045 IP6 fe80::21a:13ff:fe4c:24ww > ip6-allrouters: ICMP6, router solicitation, length 16
21:03:33.148527 IP6 fe80::21a:13ff:fe4c:24ww > ip6-allrouters: ICMP6, router solicitation, length 16
21:03:34.100105 IP6 fe80::21a:13ff:fe4c:24ww > ip6-allrouters: ICMP6, router solicitation, length 16
21:03:37.113546 IP6 fe80::21a:13ff:fe4c:24ww > ip6-allrouters: ICMP6, router solicitation, length 16
21:03:37.690372 IP6 fe80::21a:13ff:fe4c:24ww > ff02::16: HBH ICMP6, multicast listener report v2, 1 group record(s), length 28
21:03:38.110614 IP6 fe80::21a:13ff:fe4c:24ww > ip6-allrouters: ICMP6, router solicitation, length 16
21:03:39.591604 IP6 fe80::21a:13ff:fe4c:24ww.dhcpv6-client > ff02::1:2.dhcpv6-server: dhcp6 inf-req
21:03:40.545661 IP6 fe80::21a:13ff:fe4c:24ww.dhcpv6-client > ff02::1:2.dhcpv6-server: dhcp6 inf-req
21:03:41.119358 IP6 fe80::21a:13ff:fe4c:24ww > ip6-allrouters: ICMP6, router solicitation, length 16
21:03:42.497768 IP6 fe80::21a:13ff:fe4c:24ww.dhcpv6-client > ff02::1:2.dhcpv6-server: dhcp6 inf-req
21:03:46.350876 IP6 fe80::21a:13ff:fe4c:24ww.dhcpv6-client > ff02::1:2.dhcpv6-server: dhcp6 inf-req
21:03:54.126998 IP6 fe80::21a:13ff:fe4c:24ww.dhcpv6-client > ff02::1:2.dhcpv6-server: dhcp6 inf-req

Что на сколько они опасны для анонимности?

Answer 1

[alegzz]

ни насколько
https://ru.wikipedia.org/wiki/IGMP

Comments

[Gonchik Tsymzhitov]

Но я думаю, грамотная аналитика повлияет на анонимность.

Ведь все равно IGMP запросы порождают время запроса и источник запроса.

Я бы порекомендовал блочить IGMP.^)

[Николай]

brate1nikoff: =) я вообе не понимаю как они проходят если:
iptables -A OUTPUT -o eth0 -j DROP
вроде весь трафик блокирую))

[Gonchik Tsymzhitov]

ACCNCC: А это уже интереснее. можете вывести цепочку OUTPUT (iptables -L OUTPUT -n -v --line-numbers)

[Николай]

brate1nikoff: Спасибо за помощь!

Chain OUTPUT (policy ACCEPT 4324 packets, 1051K bytes)
num pkts bytes target prot opt in out source destination
1 3004 1009K ACCEPT all -- * * 0.0.0.0/0 37.1.220.10
2 188 10754 DROP all -- * eth0 0.0.0.0/0 0.0.0.0/0
3 1594 735K ACCEPT all -- * tap0 0.0.0.0/0 0.0.0.0/0

[Gonchik Tsymzhitov]

ACCNCC: Попробуйте красивое решение :
Для правила 1,
iptables -A OUTPUT -p igmp -j DROP

У меня на одном хосте заработало,
но вот Debian 7 пропускает.
Помогло:

iptables -A INPUT -s 224.0.0.0/4 -j DROP
iptables -A OUTPUT -d 224.0.0.0/4 -j DROP

[Николай]

brate1nikoff:
19:04:09.344924 IP 192.168.1.1 > all-systems.mcast.net: igmp query v3
19:04:16.887596 IP 192.168.1.1 > igmp.mcast.net: igmp v3 report, 3 group record(s)
Не помогло( блин что же делать?

[Gonchik Tsymzhitov]

ACCNCC:
Тогда явно по IP блочим.

Name:	igmp.mcast.net
Address: 224.0.0.22
----------------------------
Name:	all-systems.mcast.net
Address: 224.0.0.1

Первые правила в IPTABLES.
iptables -A OUTPUT -d 224.0.0.22 -j DROP
iptables -A OUTPUT -d 224.0.0.1 -j DROP

Или тупое решение:
Пропишите /etc/hosts. если запрос идет с доменным именем.
127.0.0.1 all-systems.mcast.net igmp.mcast.net

:)

[Николай]

brate1nikoff: Толку нету( но спасибо за помощь! =)

[Gonchik Tsymzhitov]

ACCNCC: Пожалуйста, но я не решил таск.

Может перезапустите интерфейсы, и обнулите правила iptables.

[Николай]

brate1nikoff: :
$ ping all-systems.mcast.net
PING all-systems.mcast.net (127.0.0.1) 56(84) bytes of data.
64 bytes from localhost (127.0.0.1): icmp_seq=1 ttl=64 time=0.048 ms
64 bytes from localhost (127.0.0.1): icmp_seq=2 ttl=64 time=0.033 ms
64 bytes from localhost (127.0.0.1): icmp_seq=3 ttl=64 time=0.056 ms
64 bytes from localhost (127.0.0.1): icmp_seq=4 ttl=64 time=0.057 ms

Вроде получилось через хост кидать на локалку но вызовы так и идут))

20:02:30.278015 IP 192.168.1.1 > all-systems.mcast.net: igmp query v3
20:02:34.320929 IP 192.168.1.1 > igmp.mcast.net: igmp v3 report, 3 group record(s)
20:04:35.202416 IP 192.168.1.1 > all-systems.mcast.net: igmp query v3
20:04:38.117277 IP 192.168.1.1 > igmp.mcast.net: igmp v3 report, 3 group record(s)

[Maksim]

А не разбирались кто (что за софт) генерирует эти мультикаст запросы?

[Николай]

brate1nikoff:
igmp заблокировали)

Появились новые в ip6

21:03:29.362887 ARP, Request who-has 192.168.1.1 tell 192.168.1.6, length 46
21:03:30.094045 IP6 fe80::21a:13ff:fe4c:24ww > ip6-allrouters: ICMP6, router solicitation, length 16
21:03:33.148527 IP6 fe80::21a:13ff:fe4c:24ww > ip6-allrouters: ICMP6, router solicitation, length 16
21:03:34.100105 IP6 fe80::21a:13ff:fe4c:24ww > ip6-allrouters: ICMP6, router solicitation, length 16
21:03:37.113546 IP6 fe80::21a:13ff:fe4c:24ww > ip6-allrouters: ICMP6, router solicitation, length 16
21:03:37.690372 IP6 fe80::21a:13ff:fe4c:24ww > ff02::16: HBH ICMP6, multicast listener report v2, 1 group record(s), length 28
21:03:38.110614 IP6 fe80::21a:13ff:fe4c:24ww > ip6-allrouters: ICMP6, router solicitation, length 16
21:03:39.591604 IP6 fe80::21a:13ff:fe4c:24ww.dhcpv6-client > ff02::1:2.dhcpv6-server: dhcp6 inf-req
21:03:40.545661 IP6 fe80::21a:13ff:fe4c:24ww.dhcpv6-client > ff02::1:2.dhcpv6-server: dhcp6 inf-req
21:03:41.119358 IP6 fe80::21a:13ff:fe4c:24ww > ip6-allrouters: ICMP6, router solicitation, length 16
21:03:42.497768 IP6 fe80::21a:13ff:fe4c:24ww.dhcpv6-client > ff02::1:2.dhcpv6-server: dhcp6 inf-req
21:03:46.350876 IP6 fe80::21a:13ff:fe4c:24ww.dhcpv6-client > ff02::1:2.dhcpv6-server: dhcp6 inf-req
21:03:54.126998 IP6 fe80::21a:13ff:fe4c:24ww.dhcpv6-client > ff02::1:2.dhcpv6-server: dhcp6 inf-req

[Николай]

Maksim: А как это можно узнать?

[Maksim]

ACCNCC: я думаю тут в помощь команда netstat

[alegzz]

ACCNCC: огорчу вас, это тоже igmp...

[Николай]

alegzz:
Он успешно заблокировался))
ip6tables -A OUTPUT -o eth0 -j DROP

iptables -A INPUT -p ipv6-icmp -j DROP
iptables -A OUTPUT -p ipv6-icmp -j DROP

Непонятно почему простой igmp так просто не блокируется))

[Maksim]

ACCNCC: чем блокировать, лучше разобраться что генерит эти запросы и по отключать.

[Николай]

Maksim: Смотрел ваши ответы и заметил что Вы агрошкольник) друг тебе помогут антидепрессанты!))))

[Maksim]

ACCNCC: Да это есть но суть моего ответа не изменилась. На хабре habrahabr.ru/post/217585 даст общее понимание мультикаста. Принцип простой, если сеть в вашем подчинении зачем блочить, лучше разобраться что эту х*йню (не здержался) генерит

[Николай]

Maksim: Такой подход мне не подходит! ( блокировать программу ) у меня задача другая избежать утечки с любых программ, сейчас и в будущем!

Answer 2

[younghacker]

Отключите IPv6. Для вашей анонимности он опасен.

Вот эта опция железобетонная!
iptables -A OUTPUT -o eth0 -j DROP
Вы уверены что у вас VPN работает? А если работает то через какой интерфейс? eth1, wlan? Куда смотрит default gate в ip route ?

Перед дропом нужно было поставить акцепт для пакетов в адрес сервера. Ну и дропать нужно на всех интерфейсах кроме TUN... Зачем же вам TAP интерфейс ???